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Resume 



On s'interesse aux interactions entre la cryptologie et les automates cellulaires. II a ete montre 

recemment qu'il n'existe pas de regie elementaire d'automate cellulaire non-lineaire robuste a la 

correlation. Ce resultat limite fortement I'usage d'automates cellulaires pour la construction de suites 

P^ ' pseudo-aleatoires servant de cles utilisables en cryptographie a cle secrete. De plus, pour de tels 

r) , mecanismes de generation de suites pseudo-aleatoires, Meier et Staffelbach ont propose une technique 

• ■ de cryptanalyse efficace. Cependant, des pistes subsistent pour construire des automates cellulaires sus- 

(\ ' ceptibles d'engendrer de bonnes suites pseudo-aleatoires, que nous evoquerons a la fin de cet article. 

Abstract : This paper considers interactions between cellular automata and cryptology. It is known that 
non-linear elementary rule which is correlation-immune don't exist. This results limits the use of cellular 
automata as pseudo-random generators suitable for cryptographic applications. In addition, for this kind 
of pseudo-random generators, a successful cryptanalysis was proposed by Meier and Staffelbach. Howe- 
TV ' ver, other ways to design cellular automata capable to generate good pseudo-random sequences remain 
1- •: ', and will be discussed in the end of this article. 

O ; 1 Les automates cellulaires 

oo 

^"^ ' Les automates cellulaires (ou AC) ont ete inventes par Ulam et von Neumann 111]. II s'agit a la fois 

d'un modele de systeme dynamique discret et d'un modele de calcul. Un automate cellulaire est compose 

Jv>( \ d'un ensemble bi-infini de cellules identiques qui peuvent prendre a un instant donne un etat a valeurs dans 

}_j ■ un ensemble fini. Le temps est egalement discret et I'etat d'une cellule au temps t est fonction de I'etat 

C^ I au temps t — 1 d'un nombre fini de cellules appele son «voisinage». A chaque nouvelle unite de temps, 

les memes regies sont appliquees a I'ensemble des cellules, produisant une nouvelle « configuration » de 

cellules dependant entierement de la configuration precedente. Nous nous restreindrons ici a des automates 

cellulaires sur un anneau de N cellules et dont I'ensemble des etats est binaire. 

Definition 1 Un automate cellulaire est un ensemble fini de cellules identiques indicees par TLj^. Chaque 
cellule est une machine d' etats finis C — (Q, f) oil Q ^ ¥2 et f une application f : Q x Q x Q ^ Q. 

Le fonctionnement de /, \z. fonction de transition, est le suivant : I'etat de la cellule i au temps t + 1 (note 
a;*^^) depend des etats des cellules i — 1, i et i + 1 au temps t (le voisinage de la cellule i de rayon 1) : 
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La fig. [T] illustre une transition d'un automate cellulaire sur un anneau de 8 cellules. Chacune des 
cellules pouvant prendre deux etats, il existe 2^^ = 8 configurations possibles d'un tel voisinage. Pour que 
r automate cellulaire fonctionne, il faut definir quel doit etre I'etat, a 1' instant suivant, d'une cellule pour 
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Fig. 1 - Transition de la cellule 3. 



Fig. 2 - Evolution d'un AC. 



chacun de ces motifs. II y a 2* = 256 fagons differentes de s'y prendre, et done 256 regies d'automates 
cellulaires differentes. Considerons la regie d' automate cellulaire definie par la table suivante : 
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(cela signifie que si, a un temps t donne, une cellule est a I'etat «0», sa voisine de gauche a I'etat «0» et sa 
voisine de droite a I'etat « 1 », au temps t + 1 elle sera a I'etat « 1 ».) Si Ton part d'une configuration initiale 
oil toutes les cellules sont a I'etat «0» sauf une, on aboutit a la suite de configurations (appelee aussi 
diagramme espace-temps) decrit dans la figure |2] Par convention, la regie decrite ci-dessus est appelee 
«regle 30», car 30 s'ecrit 0001 1 1 10 en binaire et 0001 1110 correspond a la deuxieme ligne du tableau. 

Ces 256 automates cellulaires appeles egalement elementaires ont ete etudies par Wolfram lfT3l qui a 
propose une representation alternative des regies qui peuvent etre vues comme des fonctions Booleennes a 
(au plus) 3 variables. Par exemple, la fonction Booleenne qui correspond a la regie 30 est : 
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(1) 



oil ® represente le «ou exclusif» et V I'operation du «ou logique». Puisque nous nous interessons es- 
sentiellement a la qualite de I'aleatoire qu'on peut obtenir par revolution d'un automate cellulaire, il est 
possible d'exhiberdes equivalences entre les regies elementaires. Nous en presentons trois : la conjonction, 
la reflexion et celle qui est la composition des deux. Remarquons cependant que le contenu de la cellule i au 
temps t, x\ (obtenu de la configuration initiale a;° par t iterations de la regie r) n'est pas le meme que (x'J* 
(obtenu par t iterations de la regie r' ~ r) mais les comportements ont globalement les memes proprietes. 
Rappelons qu'une regie elementaire est toujours de la forme f{x) — y avec x G {^2)^ et y £ F2. Nous 
noterons dans la suite rh le mot obtenu de m = momi . . . rUn en le lisant de la droite vers la gauche : 
rh — r7i„7n„_i . . . mo et m le mot obtenu de m en le complementant bit a bit : m = ttTq ■ • ■ m„. 



1.1 Conjonction 



Soit la transformation : y.i = f{xi) i € |0, 7] alors, I'ensemble des entrees x est transforme en : 
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il reste encore a complementer les sorties pour obtenir la regie equivalente par conjonction. Par cette 
transformation, la regie 30 est transformee en 135. 

Une autre fagon de voir la regie r' ~c r ecrite sur 8 bits est ; f = r', done r' = f. 



1.2 Reflexion 

Soit la transformation : y.i = f{xi) i £ |0, 7] alors, I'ensemble des entrees x est ti-ansforme en : 



1 


2 3 


4 5 


6 


7 


4 


2 6 


1 5 


3 


7 



De cette maniere, la regie 30 est transformee en 86. 



1.3 Conjonction-reflexion 



On compose les deux transformations precedentes pour obtenir : j/i — f{£i) i G |0, 7] alors, I'ensemble 
des entrees x est transforme en : 
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De cette maniere, la regie 30 est transformee en 149. 

2 Le chiffre de Vernam 

Soit P = P1P2 ■ ■ ■ Pm un clair de m bits et kik2 ■ ■ -km un flux binaire ; la cle k. Soit Ci le i*^ bit du 
chiffre obtenu par application de F operation de chiffrement Ci = pi®ki. Le dechiffrement est obtenu grace 
a I'idempotence de © en recalculant Pi = Ci® ki avec la meme cle k. 

Ce chiffre, appele chiffre de Vernam, est parfaitement sur ISO pourvu que la cle soit une suite aleatoire 
parfaite et qu'elle ne soit utilisee qu'une seule fois. D'un point de vue pratique, pour utiliser ce chiffre, cela 
signifie qu'on doit pouvoir construire assez facilement des suites (pseudo)-aleatoires assez longues. 

L'idee de Wolfram lfT2l est d' utiliser un automate cellulaire pour engendrer une telle suite pseudo- 
aleatoire en utilisant la suite des valeurs prises au cours du temps par une cellule fixee avec un automate 
cellulaire executant la regie 30 sur un anneau de N cellules a partir d'une configuration initiale qui joue le 
role de la cle du generateur de suite pseudo-aleatoire. L' application iteree de la regie locale / transforme 
celle-ci en une fonction Booleenne F a N variables qui, au bout d'un certain temps, combine les valeurs 
de la configuration initiale entre elles. 

Dans les sections suivantes, nous verrons les faiblesses d'une telle realisation en rappelant tout d'abord 
une attaque menee contre le generateur base sur la regie 30. Nous montrerons ensuite en explorant I'en- 
semble des regies elementaires, qu'il n'existe pas de regie elementake qui permette d' engendrer des suites 
pseudo-aleatoires de bonne qualite cryptographique. 

3 L' attaque de Meier et Staff elbach 

Nous rappelons 1' attaque de Meier et Staffelbach ||5l a clair/chiffre connus contre la regie 30. Le but est 
de trouver un chiffre equivalent qui ramene le probleme de deduire la cle originale a celui de trouver celle 
du chiffre equivalent. Le chiffre equivalent possede un plus petit nombre de cles dont certaines ont une plus 
grande probabilite d' apparition. Ces remarques permettent de concevoir un algorithme d' attaque efficace. 

La methode est la suivante. On s'interesse a la suite {xi}t des valeurs prises par la cellule Xi etant 
donnee une configuration initiale S{t) = {a;*_„, . . . ,a;*, . . . , x*^„}, la cle. L' evolution de I'automate 
cellulaire est regi par la regie 30 qui pent etre reecrite en utilisant la linearite partielle : 

x*_i=x*+i©(x*Vx*+i) (2) 

Par I'equation dU, les valeurs des cellules autour de Xi forment un triangle (cf. fig. ID. 

Etant donnees les valeurs des cellules de deux colonnes adjacentes, la completion arriere permet de 
reconstruire par (|2]l la totalite du triangle a gauche de la suite {xi}f Par la completion arriere, A^ — 1 
valeurs de {xi]t et iV — 2 valeurs de {xi+i]t determinent la configuration initiale. De maniere similaire, 
la cle peut etre reconstruite a partir de A^ — 2 valeurs de {xi}t et N — 1 valeurs de {xi^i}t- 
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Fig. 3 - Triangle determine par la configuration initiale. 



Si on se donne iV — 1 valeurs de la suite {xi}t, connaitre la cle equivaut a la connaissance d'une des 
suites adjacentes. Celles-ci peuvent etre considerees chacune comme une cle determinant le reste de la 
suite. Le probleme devient : trouver une suite adjacente puis determiner la cle par completion arriere. 

II y a certaines differences entre les suites adjacentes gauches et droites que nous expliquons pour un 
automate cellulaire general de largeur 2n + I sans condition de bord. On suppose connue {a:^}^^". Selon 
la figure [3] le probleme de trouver la suite adjacente gauche est equivalent par ([T]) a celui de completer 
la totalite du triangle gauche. Reciproquement, la connaissance de L = {a;*_„, • ■ • , a^i-i} et de {xi}t 
equivaut a la connaissance de tout le triangle gauche. Remarquons que les valeurs de L ne peuvent pas etre 



choisies au hasard. Par exemple, si xl — I ^ xj 
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Fig. 4 - Explication du fonctionnement de I'algorithme. En (a), on illustre la completion avant et en (b) la 
completion arriere. On peut aussi voir le fonctionnement de I'algorithme comme si on appliquait le masque 
de droite dans le sens j, k pour (a) et fc, j pour (b). 

D'un autre cote, tout choix de i? = {x\j^i, . . . , a::*+„} mene a une completion consistante vis a vis 
de {xi}t. En effet, par (|2]i, pour tout element de la suite adjacente droite x*^-^ il existe un element de la 
suite adjacente gauche xl_i consistant avec la valeur suivante de la suite de reference x^^^. De plus, selon 



dB, n'importe quel choix de {: 
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iterant ce procede, on obtient le triangle de droite de la figure |3] Ce procede, appele completion avant, 
construit une suite adjacente droite consistante avec la suite de reference pour tout choix de R. 

Supposons a present que 1' automate cellulaire est un anneau de N cellules (ce qui signifie en par- 



ticluier que L — R). Pour retrouver la cle, on peut calculer soit R = {a;*, . . 



la figure |4] 
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_^}, soit L = 
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, , X*}. En s'appuyant sur les remarques precedentes, on obtient I'algorithme MS, illustre par 



Algorithme MS 

1 . engendrer une cle aleatoire ; 

2. completion avant : 

Pourfc G {l,...,iV-2} 

Pour j G {l,...,7V-fc- 1} 

Xi+j{t + k) ^ Xi+j-i{t + fc - 1) e ixi+j{t + fc - 1) V Xi+j+i{t + fc - 1)) ; 

3. completion arriere : 

PourjG{l,...,iV-l} 

Pour ke{N -l~j,...,0} 

Xi-j{t + k) ^ Xi-j+i{t + k + l) ® {xi^j+i{t + k) W Xi-j+2{t + k)) ; 

4. executer la regie 30 sur la config. init. obtenue ci-dessus pour generer la suite. Fin si 
coincidence, sinon aller en 1 . 

Le fonctionnement de ralgorithme est illustre sur un exemple avec N — 5 par la fig.|5] Dans ce cas, la 
cle est {xi, . . . ,Xi^4) = (0, 1,0, 1, 1) et la suite pseudo-aleatoire (0, 0, 1, 0,0). Al'etape 1 de ralgorithme, 
les valeurs 2:^+1, . . . , 3:^+4 sont choisies au hasard. Si x^+i est a 1, alors par ([U, la suite adjacente droite 
produite est independante du choix de Xi+2 , Xi+3 et Xi+4. C'est pour cela qu'ils sont marques par «*» dans 
la fig. H] Ainsi, il n'y a qu'une seule suite adjacente droite avec Xi+i = 1. Done, avec probabilite 1/2, la 
cle correcte est trouvee des le premier essai. 
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Determination de la racine par completion arriere 

Fig. 5 - Un exemple simple de cryptanalyse. 

Puisque la regie 30 est susceptible d'une attaque, qu'en est-il des autres regies ? Existe-t'il, parmi les 
256 regies elementaires, de meilleures regies que celle proposee par Wolfram ? C'est a cette question que 
nous allons repondre dans la section suivante. 

4 Etude de 1 'auto-correlation 

Une mesure du taux de correlation entre les entrees et les sorties des iterees des fonctions de transition 
des automates cellulaires elementaires peut etre obtenue a I'aide de la transformee de Walsh. 

Notons F(x) la valeur de la fonction F evaluee au point defini par le vecteur x_ — (xq , xi , . . . , x^-i ) de 
(F2)^ ou, de maniere equivalente, F{x) la valeur de F evaluee au point x — X]i=o 2;i.2*. Soit egalement 
tj G (11^2)^ et w = X]i=o ^i-2% I'entier correspondant. On definit la transformee de Walsh de F par 

F(w) = J2l=Q F{x){-1)''-'-', oil {x,uj} est le produit scalaire. 

La transformee de Walsh possede quelques proprietes statistiques interessantes : la valeur de la trans- 
formee au point est egal a la valeur moyenne de la fonction : F{Q) = E[F{x)]. Cette propriete permet de 
tester I'equidistribution de et de 1 de F. En effet, si F est equidistribuee, F{0) = 2^~^. 



On peut aussi deduire des dependances statistiques entre des sous-ensembles des entres et la sortie de 
F. II est clair que si on connait le vecteur d' entree complet de F, la valeur de la sortie est sans ambiguite 
aucune. Mais il peut y avoir certaines variables d'entree ou de petits sous-ensembles de variables d'entree 
qui reduisent 1' incertitude sur la sortie de F. En d'autres termes, il y a une correlation entre tout sous- 
ensemble Xi, . . . , Xra de variables d'entree et la variable de sortie Z de F. C'est ce qu'enonce le lemme[T]: 

Lemme 1 (Rueppel /6l/j La variable aleatoire discrete Z est independante des m variables aleatoires 
independantes et uniformement distributes Xi , . . . , X„i si et seulement si Z est independante de la somme 
sur ¥2 de X) j=i (^i^i pour tout choix de ci,C2, ■ ■ ■ ,Cm non tous nuls de ¥2- 

Ce lemme implique que 1' information mutuelle entre la variable de sortie et les m variables d'entree 
est nulle, si et seulement si I'information mutuelle entre Z et toute combinaison lineaire non nulle de m 
variables d'entree vaut zero. On en deduit : P[F — 1/{X, uj) ~ 1] = ^ ^^ 

Lemme 2 Soit X — (Xi, . . . , Xm) un vecteur aleatoire oil les V.A. binaires Xi,...,X„j sont 
independantes et telles que P[Xi = 0] = P[Xi = 1] pour tout i. Soit F : (F2)^ — > F2 et soit ui j^ 0. 
Alors, la V.A. Z = F{X) est independante de {lu, X) si et seulement si F{uj) — 0. 

Nous pouvons maintenant enoncer le critere principal de resistance aux correlations : 

Theoreme 1 (Xiao et Massey |14|) La fonction F : (F2)^ -^ ¥2 est resitante aux correlations a I'ordre 
k si et seulement si F{uj) — 0, \/lu — (lui, . . . , LUt) ^ tel que le nombre de LOi non nuls est auplus k. 

En fait, I'idee d'utiliser la transformee de Walsh pour tester la qualite d'une suite pseudo-aleatoire vient 
de 115|. Dans cet article, Yuen a observe que le spectre d'une suite parfaitement aleatoire est asymptoti- 
quement plat. Cette observation a ete ensuite utilisee pour construire des tests pour mesurer la qualite des 
suites pseudo-aleatoire en ameliorant ceux proposes traditionnellement par Knuth |2|. 

Nous avons utilise ces differentes proprietes pour trouver, parmi les regies elementaires, celles qui sont 
les plus susceptibles d'engendrerdel'aleatoire d'une qualite convenable |4). Pour appliquer ces differentes 
proprietes, nous allons calculer la transformee de Walsh en utilisant un algorithme propose dans |T|. 

Nous procedons en plusieurs etapes. La premiere est de rechercher parmi toutes les regies elementaires 
celles qui sont equidistribuees en calculant la transformee de Walsh de chaque regie et en selectionnant les 
regies i telles que Fi{Q) = 4. Ce premier tri nous permet de retenir 70 regies. 

La seconde est de rechercher, parmi ces 70 regies, les meilleures regies. Pour ce faire, nous nous 
interessons aux iterees des fonctions selectionnees et nous choisirons la (ou les) fonction(s) Fi verifiant : 

1 7-1(0) / \ 
mm max \r^ (1^) 

oil o represente le nombre d'iterations de Fi et en s'interessant aux u! de la forme 2*^, k e |0, 2.o + 1]. 

La recherche exhaustive des meilleures fonctions a ete menee en calculant la transformatee de Walsh 
sur toutes les regies jusqu'a la cinquieme iteree (o = 5) avec un algorithme dont la complexite globale est 
asymptotiquement : 256. o^. (2. o + 1).2^°+^. Les regies interessantes sont reportees dans le tableau[T]dans 
lequel toutes les fonctions de valeur sont exactement des regies correspondant a des fonctions lineaires. 
Les seules bonnes fonctions non lineaires peuvent etre obtenues de la regie 30 par le biais des equivalences 
que nous avons rappelees dans le tableau. D'oii : 

Theoreme 2 II n 'existe pas de regie elementaire non lineaire d' automate cellulaire qui soit resistante aux 
correlations. 

On retrouve ainsi le fait que la regie 30 (ainsi que les regies qui lui sont equivalentes par les transforma- 
tions) est une «bonne» regie pour la generation de suites pseudo-aleatoires. Cependant, nous avons vu que 
cette regie est peu robuste a la cryptanalyse inventee par Meier et Staffelbach. Dans la prochaine section, 
nous donnons quelques pistes pour construire de meilleurs automates cellulaires pour engendrer des suites 
pseudo-aleatoires. 
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Tab. 1 - Resultat de la transformee de Walsh et "bonnes" fonctions. Dans ce tableau, I'ordre correspond au 
nombre d' iterations de la regie, val la plus petite valeur de la transformee de Walsh et cfg la configuration 
correspondante. A droite, nous avons rappele les regies equivalentes. 

5 De nouvelles pistes 

Dans 0, Tomassini et Sipper ont suggere F utilisation d' automates cellulaires non uniformes pour en- 
gendrer de meilleures suites pseudo-aleatoires. Dans ce modele, chaque cellule peut utiliser plusieurs regies 
(1' automate cellulaire devient non-uniforme) et les meilleures regies sont selectionnees par une approche 
evolutionnaire au moyen d'un algorithme genetique. De cette maniere, Tomassini et Sipper ont selectionne 
quatre regies de rayon un ; il s'agit des regies 90, 105, 150 and 165 qui sont toutes lineaires, ce qui est un 
inconvenient, comme il est rappele dans 1 16 1. lis ont utilise une batterie de tests statistiques pour mesurer 
la qualite des suites pseudo-aleatoires engendrees avec de bons resultats. 

Cette etude a ete generalisee a des regies de rayon superieur a un dans [7|. Seredynski et al ont a leur 
tour propose differentes regies de rayon 1 et 2 d' automates cellulaires ; ce sont les regies de rayon un 30, 
86 et 101 et les regies de rayon deux 869020563, 1047380370, 1436194405, 1436965290, 1705400746, 
1815843780, 2084275140 et 2592765285. Leur nouvel ensemble de regies a ete teste selon les directives 
du FIPS 140-2 ifTol et des tests de Marsaglia, implementes dans le paquetage diehard. 

Cependant, dans aucun des deux cas, les auteurs n'ont mene une etude de la correlation des suites en- 
gendrees. II faudrait faire une etude analogue a la notre pour valider F approche evolutionnaire de selection 
des regies d' automates cellulaires pour la generation de suites pseudo-aleatoires. 
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